Apple заявила, что уберет из магазина App Store 256 приложений, которые использовали частные API-интерфейсы, чтобы собирать данные о пользователях и устройствах, и позволяли осуществлять незаметную слежку за владельцем айфона.

SourceDNA, аналитическая компания, изучающая приложения на iOS и Android, в частном порядке доложила Apple о наличии приложений, незаметно собирающих данные. В список попали 256 программ, обнаруженных аналитиками в ходе сканирования App Store на предмет приложений, использующих частные API.

Эта проблема, во-первых, ставит приватность пользователей под удар: данные об использовании устройства собираются и отправляются на сервера китайских разработчиков рекламного ПО Youmi; во-вторых, использование частных API позволяет обходить строгие правила безопасности, применяемые Apple.

«Опасность заключается в самой технике», — считает Нейт Лоусон (Nate Lawson), основатель SourceDNA. Лоусон подтвердил, что поведение используемого SDK неясно даже для разработчиков приложений и помогает обойти этапы проверки, проводимой Apple в отношении загружаемых в магазин приложений. «Мы впервые обнаружили на App Store код, который использует частные API и при этом каким-то образом смог пройти проверку Apple. В магазине могут быть и другие приложения, использующие этот код и скрывающие вредоносное поведение, но мы о них пока не знаем. Тот факт, что такие программы были допущены в App Store, очень настораживает», — заявляет Лоусон.

SourceDNA определила, что приложения, использующие Youmi SDK, могли внедряться в iOS-устройство и определять список установленных приложений, серийный номер платформы и периферийных устройств, а также email, привязанный к аккаунту Apple ID.

«Этот SDK собирает гораздо больше данных, чем другие, — подчеркнул Лоусон. — Не только персональную идентификационную информацию вроде email, на который регистрируется Apple ID, но и информацию об аппаратных компонентах устройства, что происходит даже в случае переустановки ОС или удаления приложений».

«Мы не знаем, как Apple могла пропустить такие приложения, — недоумевает Лоусон. — Возможно, код слишком успешно обфусцируется. Мы понимаем, что Apple «отлавливает» сотни не соответствующих требованиям приложений каждый день, не допуская их в App Store. Но у этих приложений почему-то получилось обмануть Apple».

SourceDNA также приводит официальное заявление Apple:

«Мы выявили группу приложений, которые используют сторонний SDK от провайдера мобильной рекламы Youmi. Данный набор разработчика использует частные API-интерфейсы для сбора конфиденциальной информации, в том числе email-адресов и идентификаторов устройств, и отправки их на сервер разработчика. Это нарушение наших правил в области безопасности и приватности. Приложения, использующие SDK Youmi, будут удалены из App Store, а новые приложения, основанные на данном SDK, не будут допущены до публикации. Мы сотрудничаем с разработчиками и помогаем им обновить свои приложения, сделав их безопасными для пользователей и приведя в соответствие требованиям App Store».

В общей сложности 256 приложений, по сведениям  SourceDNA, были загружены более 1 млн раз. Как оказалось, 142 устаревшие версии SDK Youmi не обращаются к частным API, но не так давно его разработчики научились обфусцировать определенный запрос, чтобы таким образом «обмануть» процесс проверки со стороны Apple.

«Научившись обходить проверку Apple, они, видимо, осмелели, и вредоносное поведение приложений стало более явным. Также владельцы SDK используют тот же метод обфускации, чтобы вызывать рекламные идентификаторы, используемые для отслеживания кликов на баннеры, однако вполне вероятно, что эта техника используется и для других целей, ведь не зря разработчики так озаботились тем, чтобы замаскировать вредоносное поведение приложений, — говорится в сообщении SourceDNA. — Последняя версия SDK Youmi (v5.3.0), опубликованная месяц назад, до сих пор собирает пользовательские данные».

Так как вредоносное поведение кода обфусцируется, разработчики приложений, использующие SDK Youmi для внедрения рекламных объявлений, могут и не знать о том, что код демонстрирует вредоносные характеристики. «Большинство разработчиков находятся в Китае, — пишут далее исследователи. — Полагаем, создатели приложений не знают о проблеме, так как SDK поставляется в бинарной форме и обфусцирован, к тому же пользовательские данные отправляются на сервер Youmi, а не на сервер приложения. Мы рекомендуем разработчикам отказаться от использования данного SDK до тех пор, пока этот код не будет изъят из обращения».

Это уже вторая за последние две недели новость о нарушениях правил iOS, связанных с использованием частных API. Создатели YiSpecter, о котором 5 октября рассказали исследователи из Palo Alto Networks, использовали сертификаты, выписанные в рамках программы iOS Developer Enterprise Program, в сочетании с незаконным использованием частных API, чтобы внедрять рекламное ПО на залоченные iOS-устройства, в основном в Китае и на Тайване.

Поведение YiSpecter было более вредоносным. YiSpecter активирует бэкдор и посылает данные о девайсе на ряд C&C-серверов. Также он имеет возможность устанавливать и запускать троянизированные приложения (некоторые из них выживают даже после удаления основной программы), отслеживать запуск легальных приложений для отображения нежелательной рекламы, менять дефолтные настройки поиска в Safari, закладки браузера и самовольно открывать страницы в мобильном браузере. В основном данный SDK используется для распространения рекламы порнографического содержания.

Категории: Вредоносные программы, Главное